ChinaCache敏感信息泄漏导致的血案

  • A+
所属分类:乌云漏洞
摘要

2016-03-14: 细节已通知厂商并且等待厂商处理中
2016-03-15: 厂商已经确认,细节仅向厂商公开
2016-03-25: 细节向核心白帽子及相关领域专家公开
2016-04-04: 细节向普通白帽子公开
2016-04-14: 细节向实习白帽子公开
2016-04-29: 细节向公众公开

漏洞概要 关注数(18) 关注此漏洞

缺陷编号: WooYun-2016-184619

漏洞标题: ChinaCache敏感信息泄漏导致的血案

相关厂商: ChinaCache

漏洞作者: PgHook

提交时间: 2016-03-14 17:33

公开时间: 2016-04-29 16:33

漏洞类型: 敏感信息泄露

危害等级: 高

自评Rank: 20

漏洞状态: 厂商已经确认

漏洞来源:www.wooyun.org ,如有疑问或需要帮助请联系

Tags标签: 敏感信息泄露

0人收藏 收藏

分享漏洞:

ChinaCache敏感信息泄漏导致的血案


漏洞详情

披露状态:

2016-03-14: 细节已通知厂商并且等待厂商处理中
2016-03-15: 厂商已经确认,细节仅向厂商公开
2016-03-25: 细节向核心白帽子及相关领域专家公开
2016-04-04: 细节向普通白帽子公开
2016-04-14: 细节向实习白帽子公开
2016-04-29: 细节向公众公开

简要描述:

神器在手不同凡响啊!!
两个轮子的自行车,加一个轮子就成三轮车。
三个轮子的自行车,加一个轮子就成小轿车。
我只是在两个轮子的基础上,加了一个轮子。

详细说明:

漏洞地址:http://58.68.229.115/WEB-INF/web.xml

ChinaCache敏感信息泄漏导致的血案

ChinaCache敏感信息泄漏导致的血案

ChinaCache敏感信息泄漏导致的血案

ChinaCache敏感信息泄漏导致的血案

ChinaCache敏感信息泄漏导致的血案

ChinaCache敏感信息泄漏导致的血案

ChinaCache敏感信息泄漏导致的血案

ChinaCache敏感信息泄漏导致的血案

利用上面的邮箱及密码,成功登录邮箱。

ChinaCache敏感信息泄漏导致的血案

导出邮箱列表,成功爆破100+邮箱。默认口令:qazQAZ!

code 区域

mask 区域
***** Len*****
*****inacache.*****
*****
*****hinacache*****
*****inacache.*****
*****inacache.*****
*****hinacache*****
*****inacache.*****
*****nacache*****
*****nacache*****
*****acache.c*****
*****inacache*****
*****hinacach*****
*****nacache.*****
*****inacache*****
*****inacache*****
*****inacache*****
*****nacache*****
*****acache.*****
*****nacache*****
*****acache.*****
*****nacache.*****
*****acache.c*****
*****acache.c*****
*****nacache.*****
*****inacache*****
*****acache.c*****
*****hinacach*****
*****acache.*****
*****acache.c*****
*****nacache*****
*****acache.*****
*****acache.*****
*****acache.c*****
*****inacache*****
*****nacache.*****
*****acache.c*****
*****acache.*****
*****inacache*****
*****inacache*****
*****nacache*****
*****inacache*****
*****nacache.*****
*****inacache*****
*****acache.*****
*****acache.*****
*****nacache.*****
*****nacache*****
*****hinacach*****
*****inacache*****
*****hinacach*****
*****acache.*****
*****inacache*****
*****acache.c*****
*****acache.c*****
*****acache.c*****
*****nacache*****
*****nacache*****
*****nacache.*****
*****nacache.*****
*****inacache*****
*****nacache.*****
*****inacache*****
*****acache.c*****
*****nacache*****
*****nacache*****
*****acache.c*****
*****nacache*****
*****inacache*****
*****nacache.*****
*****nacache*****
*****nacache.*****
*****nacache*****
*****nacache.*****
*****nacache.*****
*****nacache*****
*****nacache*****
*****inacache*****
*****inacache*****
*****acache.*****
*****nacache.*****
*****cache.*****
*****ache.c*****
*****cache.*****
*****che.co*****
*****cache.c*****
*****cache.*****
*****he.com*****
*****ache.co*****
*****cache.c*****
*****cache.c*****
*****cache.c*****
*****cache.c*****
*****cache.c*****
*****cache.c*****
*****ache.co*****
*****ache.c*****
*****cache.c*****
*****che.co*****
*****cache.c*****
*****cache.c*****
*****cache.c*****
*****cache.*****
*****ache.c*****
*****ache.co*****
*****cache.c*****
*****ache.co*****
*****cache.c*****
*****ache.co*****
*****cache.c*****
*****cache.c*****
*****cache.c*****
*****ache.co*****
*****acache*****

谁便翻了翻邮箱,

ChinaCache敏感信息泄漏导致的血案

ChinaCache敏感信息泄漏导致的血案

ChinaCache敏感信息泄漏导致的血案

ChinaCache敏感信息泄漏导致的血案

其实是想翻个vpn出来,然后进内网的,谁知道邮件太多,可登录的邮箱也太多,实在是累呀!!!

不玩了。。。。。。。

漏洞证明:

修复方案:

版权声明:转载请注明来源 PgHook@乌云


漏洞回应

厂商回应:

危害等级:高

漏洞Rank:15

确认时间:2016-03-15 16:33

厂商回复:

漏洞确实存在,关键点请打码,谢谢。

最新状态:

暂无


漏洞评价:

对本漏洞信息进行评价,以更好的反馈信息的价值,包括信息客观性,内容是否完整以及是否具备学习价值

漏洞评价(共0人评价):

登陆后才能进行评分


评价

  1. 2016-03-14 19:36 | Mark0smith ( 普通白帽子 | Rank:176 漏洞数:71 )

    1

    目测很强

  2. 2016-03-14 20:57 | Coody ChinaCache敏感信息泄漏导致的血案 ( 核心白帽子 | Rank:1809 漏洞数:214 | 不接单、不黑产;如遇冒名顶替接单收徒、绝...)

    1

    卧槽,洞主有轮子

  3. 2016-03-14 22:23 | 泳少 ( 普通白帽子 | Rank:257 漏洞数:84 | ★ 梦想这条路踏上了,跪着也要...)

    1

    师傅借我耍耍

  4. 2016-03-14 22:30 | PgHook ( 普通白帽子 | Rank:1020 漏洞数:123 | Portulaca grandiflora Hook.)

    1

    @泳少 来来来,来开个会员吧!!

  5. 2016-03-14 23:16 | 专业种田 ChinaCache敏感信息泄漏导致的血案 ( 核心白帽子 | Rank:1686 漏洞数:214 | 没有最专业的农民,只有更努力地耕耘..........)

    1

    求神器

  6. 2016-03-15 00:20 | 泳少 ( 普通白帽子 | Rank:257 漏洞数:84 | ★ 梦想这条路踏上了,跪着也要...)

    1

    @PgHook 10R包月吗?

  7. 2016-03-15 09:18 | PgHook ( 普通白帽子 | Rank:1020 漏洞数:123 | Portulaca grandiflora Hook.)

    1

    @专业种田 师傅,我错了,以后不敢出来装逼了。。

  • 我的微信
  • 这是我的微信扫一扫
  • weinxin
  • 我的微信公众号
  • 我的微信公众号扫一扫
  • weinxin